kein ActiveSync auf Smartphones nach Umzug Exch 2003 auf 2010

[Blase 15]

N'abend!

 

Wir haben seit unserem Umzug des Exchange Servers von 2003 auf 2010 nicht mehr die Möglichkeit, auf unsere Smartphones (iPhones aller Generationen + diverse HTC Touch 2) die Mails der einzelnen Postfächer zu synchronisieren.

Bisher war das recht simpel gelößt. Wir haben ne öffentliche IP und haben die entsprechenden Ports (443) einfach zum Exchange weiter gereicht. Ich dachte (habe aber schon festgestellt, dass ich das "denken" in dieser Beziehung wohl besser lassen sollte) halt, dass ich dann den Port einfach auf die neue IP des neuen Exchange Servers umleien muss und gut ist. Tja, Fehlanzeige.

Muss ich zwingend ein Exchange Zertifikat erzeugen und auf den einzelnen Gerätzen platzieren? Ist beim Exchange 2010 noch etwas zusätzlich zu tun? OWA (oder WebApp, wie es in Exchange 2010 heißt) funktioniert nach der Umstellung der Ports einwandfrei, nur die Sync. auf die mobilen Geräte nicht. Ideen?

 

MfG Blase

[NorbertFe 2.100]

Das ist auch prinzipiell richtig, aber ein wenig konfigurieren mußt du schon. ;) Schrieb ich dir ja bereits. Das Zertifikat wird von deinen Windows Mobiles nicht akzeptiert, also entweder fügst du es manuell zu jedem Handy dazu, oder du kaufst dir ein offizielles. Hier hast du was zum Testen:

Microsoft Remote Connectivity Analyzer

 

Ansonsten kannst du deinem Chef natürlich auch sagen, dass es Dienstleister für sowas gibt. ;)

 

Bye

Norbert

[Marco7488 12]

Norbert hat Recht und die Webseite dazu ist auch sehr hilfreich.

 

Du kannst bei einem iPhone 4 einfach das "nicht getrustete" Zertifikat akzeptieren, die Synchronisation funktioniert dann trotzdem, allerdings weiß ich nicht wie sich die anderen iPhones & HTC Geräte dabei verhalten. Da liegt es dann wieder an Dir, dass zu testen.

[NorbertFe 2.100]

Norbert hat Recht und die Webseite dazu ist auch sehr hilfreich.

 

Ach was :shock: ;)

 

Du kannst bei einem iPhone 4 einfach das "nicht getrustete" Zertifikat akzeptieren, die Synchronisation funktioniert dann trotzdem, allerdings weiß ich nicht wie sich die anderen iPhones & HTC Geräte dabei verhalten. Da liegt es dann wieder an Dir, dass zu testen.

 

Bei iPhones und Android gehts ohne vertrauenswürdiges Zertifikat bei Windows Mobile nicht, wie ich ja bereits schrieb.

 

Bye

Norbert

[Marco7488 12]

Off-Topic:

Ach was :shock: ;)



Bei iPhones und Android gehts ohne vertrauenswürdiges Zertifikat bei Windows Mobile nicht, wie ich ja bereits schrieb.

Bye
Norbert

Schande über mein Haupt, ich hab das Mobile gelesen, das Windows davor nicht :cry:

Man möge mir verzeihen :) So weiter im Topic.

[Blase 15]

Hallo Jungs,

 

tut mir leid, dass ich mich erst jetzt melde, (viel zu) viel unterwegs :(

 

Also ich habe den Test mal gemacht, das Ergebnis lautet:

 

"Validating the certificate name."

 

Der Rest ist positiv. Ist die Adresse, die für die Synchronisation der Handys zuständig ist, die selbe, mit der ich auf mein owa zugreife?

 

Ich habe laut dieser Anleitung mal ein neues Exchange Zertifikat erstellt:

 

How-To - Exchange Server 2010 - Zertifikat erstellen in Exchange 2010 - msxforum

 

Ist das generell richtig so? Ich brauche ja nicht zwingend ein kostenpflichtiges Zertifikat, oder?

 

Eine Sache, die ich wohl immer noch nicht verstanden habe, grade auch in Hinblick auf meinen Fehler, wie muss dieser ****e Zertifikatname lauten? So, wie der interne Exchange Server? Oder die öffentliche Adresse, auf die zugegriffen wird?

 

Ansonsten kannst du deinem Chef natürlich auch sagen, dass es Dienstleister für sowas gibt.

 

*räusper*

 

Mein Chef würde wohl sagen, dass wir der Dienstleister sind. Wenn auch nicht auf diesem Gebiet, aber mein Chef differenziert da grade immer so, wie es ihm passt :rolleyes:

 

MfG Blase

[Marco7488 12]

Hallo Jungs,

 

tut mir leid, dass ich mich erst jetzt melde, (viel zu) viel unterwegs :(

 

Also ich habe den Test mal gemacht, das Ergebnis lautet:

 

"Validating the certificate name."

 

Der Rest ist positiv. Ist die Adresse, die für die Synchronisation der Handys zuständig ist, die selbe, mit der ich auf mein owa zugreife?

 

Ja.

Ich habe laut dieser Anleitung mal ein neues Exchange Zertifikat erstellt:

 

How-To - Exchange Server 2010 - Zertifikat erstellen in Exchange 2010 - msxforum

 

Ist das generell richtig so? Ich brauche ja nicht zwingend ein kostenpflichtiges Zertifikat, oder?

 

[/Quote]

 

Nein brauchst Du nicht, wenn du die CA auf die WIN-Mobile Geräte ausrollst. iPhone & Android akzeptieren die Zert's auch so.

Off-Topic:

ich habe die gleiche Seite vor nicht allzu langer Zeit verwendet

Eine Sache, die ich wohl immer noch nicht verstanden habe, grade auch in Hinblick auf meinen Fehler, wie muss dieser ****e Zertifikatname lauten? So, wie der interne Exchange Server? Oder die öffentliche Adresse, auf die zugegriffen wird?

[/Quote]

 

Die öffentliche Adresse.

 

*räusper*

 

Mein Chef würde wohl sagen, dass wir der Dienstleister sind. Wenn auch nicht auf diesem Gebiet, aber mein Chef differenziert da grade immer so, wie es ihm passt :rolleyes:

 

MfG Blase

 

Off-Topic:

Mit solchen Äußerungen wäre ich vorsichtig, dein Chef könnte mitlesen ;-)

 

Gruß Marco

[NorbertFe 2.100]

Also ich habe den Test mal gemacht, das Ergebnis lautet:

 

"Validating the certificate name."

 

Der Rest ist positiv. Ist die Adresse, die für die Synchronisation der Handys zuständig ist, die selbe, mit der ich auf mein owa zugreife?

 

Möglich, woher sollen wir das wissen? ;) Bei mir sinds unterschiedliche Namen, bei vielen aufgrund IP-Adressmangel oder anderer Gründe der selbe Name.

 

Ist das generell richtig so? Ich brauche ja nicht zwingend ein kostenpflichtiges Zertifikat, oder?

 

Ich schrieb dazu schon die Antwort.

 

Eine Sache, die ich wohl immer noch nicht verstanden habe, grade auch in Hinblick auf meinen Fehler, wie muss dieser ****e Zertifikatname lauten? So, wie der interne Exchange Server? Oder die öffentliche Adresse, auf die zugegriffen wird?

 

Na was meinst du denn, wie dein Handy deinen Exchange erreicht? Mit dem internen Namen oder mit dem externen? ;)

 

Deine Äußerung zu "internen Abläufen" sehe ich ähnlich wie Marco. Abgesehen davon muß das jeder selbst entscheiden, ob er sich sowas antun will. (ich meine damit die Arbeiten, für die man eventuell weniger qualifiziert ist und die am Live-System auch Auswirkungen auf den Produktivbetrieb haben).

 

Bye

Norbert

 

PS: Insgesamt ist das relativ holperig, denn mit etwas mehr "Vorplanung", wäre es eigentlich ziemlich simpel das ganze zu migrieren. Aber wenn man natürlich ständig auf Forenantworten usw. warten muß...

[FrlPatzig 10]

Wenn der Zertifikatname lautet wie der interne Exchange (also der FQDN) hat man bei einem Windows Phone das Problem, dass man dem Phone noch mitteilen muss, auf welcher IP-Adresse der Server zu finden ist. Bis zur Version 6.5 geht das noch mit Tools aus dem Netz; aber nicht mehr mit der Version 7. Es funktioniert auf alle Fälle, wenn es einen Eintrag im DNS gibt für den Mailserver - dann kann man problemlos am Exchange ein Zertifikat erstellen (über die Domäneneigene CA - ganz ohne Kosten) für diesen quasi öffentlichen Namen.

 

Das Zertifikat muss immer auf den Servernamen lauten, den man beim Handy als Quelle für EAS angibt. Sonst gibt es die Fehlermeldung, dass das Zertifikat nicht gültig ist. Apple und Co. ignorieren diesen Fehler und synchronisieren trotzdem; Windows Phones machen das nicht - da muss das Zertifikat richtig sein.

[Blase 15]

Möglich, woher sollen wir das wissen? ;) Bei mir sinds unterschiedliche Namen, bei vielen aufgrund IP-Adressmangel oder anderer Gründe der selbe Name.

Ich meine gelesen zu haben, dass das immer die selbe Adresse ist, hast Du ja aber schon wiederlegt...

 

Ich schrieb dazu schon die Antwort.

 

Stimmt, sry!

 

 

Na was meinst du denn, wie dein Handy deinen Exchange erreicht? Mit dem internen Namen oder mit dem externen? ;)

Nun ja, die Frage ist natürlich einfach. Das Zertifikat wird ja aber intern erstellt und für das AD ausgewiesen. Hätte ja sein können...

 

Deine Äußerung zu "internen Abläufen" sehe ich ähnlich wie Marco. Abgesehen davon muß das jeder selbst entscheiden, ob er sich sowas antun will. (ich meine damit die Arbeiten, für die man eventuell weniger qualifiziert ist und die am Live-System auch Auswirkungen auf den Produktivbetrieb haben).

Naja, erlebe das quasi täglich, sowohl hier im Betrieb, als auch im Umfeld. Hätte selber gerne meinen CCNA/MCSE/was weiß ich. Ist aber nicht mein Schwerpunkt. Stimme Dir zu - in allen Punkten, aber da muss ich wohl durch. Und mein Chef ließt hier sicher nicht mit. Und wenn, er würde mir wahrscheinlich nicht mal wiedersprechen :p

 

PS: Insgesamt ist das relativ holperig, denn mit etwas mehr "Vorplanung", wäre es eigentlich ziemlich simpel das ganze zu migrieren. Aber wenn man natürlich ständig auf Forenantworten usw. warten muß...

 

Auch hier kann ich Dir nicht wiedersprechen - hast Recht. Aber ist wie gesagt nicht mein Tagesgeschäft. Das wird so "nebenbei" mit gemacht, bzw. soll halt so mitgemacht werden. Da bleiben Dinge auf der Strecke. Bereitet mir zwar "schlaflose" Nächte, aber hilft nix. Was das Warten auf die Antworten hier in den Foren angeht, bin eh oft unterwegs und hätte eh nicht die Zeit, mich durchgehend mit dem Problem zu beschäftigen. Da sind solche Gedankenansätze gerne gesehen. Damit beschäftige ich mich dann Abends und versuche dann am nächsten Tag die Umsetzung/Weiterführung...

 

Alles nicht optimal - ich weiß. Aber das ist nun mal mein Status quo...

 

MfG Blase

[NorbertFe 2.100]

Nun ja, die Frage ist natürlich einfach. Das Zertifikat wird ja aber intern erstellt und für das AD ausgewiesen. Hätte ja sein können...

 

Naja, das wäre jetzt auch geklärt, oder? ;) Die ausstellende CA ist prinzipiell irrelevant.

 

 

Auch hier kann ich Dir nicht wiedersprechen - hast Recht. Aber ist wie gesagt nicht mein Tagesgeschäft. Das wird so "nebenbei" mit gemacht, bzw. soll halt so mitgemacht werden. Da bleiben Dinge auf der Strecke. Bereitet mir zwar "schlaflose" Nächte, aber hilft nix.

 

Wie gesagt, muß jeder selbst wissen. Man muß auch mal nein sagen können. Bzw. dann darauf hinweisen, dass es eben nicht das Spezialgebiet ist. Achtung Autovergleich: Ich kann mein Auto auch nicht selber tunen, und käme nicht mal auf die Idee mehr als Kraftstoff und Öl und Wischwasser nachzukippen. Andere schrauben in ihrer Freizeit da noch ganz anderer Sachen drauf ;)

 

Was das Warten auf die Antworten hier in den Foren angeht, bin eh oft unterwegs und hätte eh nicht die Zeit, mich durchgehend mit dem Problem zu beschäftigen. Da sind solche Gedankenansätze gerne gesehen. Damit beschäftige ich mich dann Abends und versuche dann am nächsten Tag die Umsetzung/Weiterführung...

 

Ist ja nicht mein Handy was nicht funktioniert, sondern wahrscheinlich deins oder das deines Chefs.

 

Bye

Norbert

[Blase 15]

Um noch mal auf Deinen Test zurück zu kommen. Bekomme als Fehlermeldung das hier:

 

Host name outlook.*domäne*.com doesn't match any name found on the server certificate E=hostmaster@ispgateway.de, CN=webserver.ispgateway.de, O=ispgateway, L=Muenchen, S=Bayern, C=DE.

 

Erwartet er also "hostmaster@ispgateway.de"? Erstelle ich dann ein Zertifikat, welches auf diesen Namen lautet?

 

"outlook.*domäne*.com" ist halt unser Zugrifff auf WebAcces (was auch funktioniert). Providerseitig wird die Adresse dann weiter auf unsere öffentliche IP gereicht ("https://*öffentlicheIP/exchange"). Die entsprechenden Ports routen wir weiter.

Ist also "outlook.*domäne*.com" nicht die Adresse, die da rein muss? Der Test klingt ja ganz danach...

 

MfG Blase

[RobertWi 81]

Off-Topic:

Ich kann mein Auto auch nicht selber tunen, und käme nicht mal auf die Idee mehr als Kraftstoff und Öl und Wischwasser nachzukippen. Andere schrauben in ihrer Freizeit da noch ganz anderer Sachen drauf ;)

Was machen andere in ihrer Freizeit an Deinem Auto? :D

[NorbertFe 2.100]

Um noch mal auf Deinen Test zurück zu kommen. Bekomme als Fehlermeldung das hier:

 

Host name outlook.*domäne*.com doesn't match any name found on the server certificate E=hostmaster@ispgateway.de, CN=webserver.ispgateway.de, O=ispgateway, L=Muenchen, S=Bayern, C=DE.

 

Erwartet er also "hostmaster@ispgateway.de"? Erstelle ich dann ein Zertifikat, welches auf diesen Namen lautet?

 

"outlook.*domäne*.com" ist halt unser Zugrifff auf WebAcces (was auch funktioniert). Providerseitig wird die Adresse dann weiter auf unsere öffentliche IP gereicht ("https://*öffentlicheIP/exchange"). Die entsprechenden Ports routen wir weiter.

Ist also "outlook.*domäne*.com" nicht die Adresse, die da rein muss? Der Test klingt ja ganz danach...

 

MfG Blase

 

Nein. Und ob dein Provider sowas korrekt weiterleiten kann sei mal dahingestellt. Du brauchst einen A-Record für deine public IP und den Namen schreibst du dann in dein Zertifikat. Im Moment steht in deinem Certifikat "domain.de", was definitiv nicht sinnvoll ist. ;)

 

Und ja, ich bin weiterhin der Meinung, dass man sich das Leben auch schwer machen kann, wenn man sonst keine Probleme hat. ;)

 

Bye

Norbert

[NorbertFe 2.100]

Off-Topic:

 

 

 

Was machen andere in ihrer Freizeit an Deinem Auto? :D

 

:) Ich hoffe doch nix. ;)